Top Trends in Cybersecurity for 2024 | Edgio情報セキュリティとコンプライアンス- PCI-DSS 4.0コンプライアンス
Edgioのセキュリティスイートは、ウェブアプリケーションを迅速に実装して保護するための堅牢で統合されたアプローチを提供し、PCI DSSセキュリティ制御に合わせて包括的な保護とコンプライアンスを確保する。
PCI Security Standards Councilは、カード会員データエコシステム内の決済セキュリティを強化するための世界的なイニシアチブを主導している。 2004年に制定されたPCI Data Security Standard (PCI DSS)は、カード所有者情報を保護するための普遍的なベンチマークとして登場した。 PCI DSSへの準拠は、カード所有者および機密認証データを処理、保存、または送信するすべての組織にとって不可欠であり、カード所有者のデータ環境の整合性を確保する。
PCI DSS 3.2から4.0へのアップデートは、この規格の重要な進化を表している。 3.2が2024年3月31日に廃止され、PCI DSS 4.0が優先される。 組織は、4.0で定められた新しいベストプラクティスを採用し、実施するための2年間の期間を与えられる。 2025年3月31日以降、更新された基準への準拠を維持するために、これらの慣行の遵守が強制される。
継続的なPCI DSSコンプライアンスを維持する方法
Edgioのセキュリティソリューションは、PCI DSSコンプライアンスを確保するための堅牢で包括的なソリューションを提供し、多額の罰金、高価な法的闘争、ブランドの損傷、消費者の信頼の低下などのコンプライアンス違反の影響から企業を保護する。 PCI DSS 4.0への移行は困難を伴うが、Edgioのセキュリティソリューションはプロセスを合理化し、従来のセキュリティツールに伴う複雑さや高いコストなしで、さまざまな環境に簡単に実装できる一連のサービスを提供する。
当社のサービスには、クラウドベースのソフトウェア、分析、および24時間体制で環境を監視するエキスパートセキュリティアナリストのチームが含まれる。 マネージド検出および応答(MDR)およびマネージドWebアプリケーションファイアウォール(WAF)ソリューションにより、
- イベントログデータを分析して、アカウントロックアウト、ログインの失敗、新しいユーザーアカウント、不正アクセスの試行など、潜在的なセキュリティインシデントを検出する。
- 調査を必要とするインシデントの識別、レビューの通知、監査人のためのインシデント監査証跡の作成。
- PCI ASVスキャンレポートを使用した紛争の解決における専門家によるレビューと支援。
- ログ収集アクティビティの監視と、ログが収集されていないときのアラート。
- 悪意のあるWebトラフィックをブロックするためのWebアプリケーションファイアウォールの設定、監視、および定期的な微調整
PCI DSS 4.0の導入により、ウェブアプリケーションファイアウォールはアプリケーションやAPIに対する「ウェブベースの攻撃を継続的に検出し、防止する」ための必須要件となった。 EdgioのManaged WAFはこの要件を満たすだけでなく、クライアント側のリスクを軽減する自動制御を提供し、6.4.3と11.6.1の要件に対応し、複数のセキュリティツールの必要性を軽減する。 当社のソリューションは、お客様のビジネスを包括的に保護するように設計されており、セキュリティの脅威に先んじて対応し、コンプライアンスを容易に維持できる。
PCI DSS 4.0の要件とEdgioセキュリティ
PCI DSS 4.0要件6:安全なシステムとソフトウェアの開発と保守
要件6組織は、重要なセキュリティパッチを実装し、安全な開発プラクティスを採用することにより、すべてのシステムとソフトウェアを既知の脆弱性から保護することを義務付けている。 これには、ソフトウェアの最新のインベントリの維持、システムコンポーネントへの変更を管理するための変更管理プロセスの実装、アプリケーションの開発にセキュリティ機能が含まれることの保証などが含まれる。
Edgioは、この要件に次のソリューションで対処する。
資産の検出と監査:クライアント側の保護カタログを作成し、クライアントが使用している資産を追跡する。
脆弱性分析: Attack Surface Management (ASM)は、組織がすべてのプロパティと考えられる脆弱性の完全なビューを取得することを可能にする。 CVEは所有者に割り当てられ、迅速に対処できる。
エンドポイント検出: APIセキュリティは、APIの使用状況を監視し、スキーマを適用し、レポートする。
PCI DSS 4.0要件10:ネットワークリソースおよびカード所有者データへのすべてのアクセスを追跡および監視
要件10は、セキュリティインシデントをタイムリーに検出して対応するために、ネットワークリソースとカード所有者データへのすべてのアクセスを追跡および監視することの重要性に焦点を当てている。 組織は、ロギングメカニズムを実装し、ログが定期的にレビューされるようにする必要がある。 この要件には、ログの安全性、完全性、正確性の確保も含まれる。
Edgioは、この要件に次のソリューションで対処する。
- リアルタイムレポートとログ: Edgioはビルド、サーバー、アクセスログへのアクセスを提供する。
- クライアントサイドの保護: EdgioはブラウザサイドのスクリプトとAPIを監視してデータの流出を防ぐ。
- 継続的な監視: Edgioはシステム全体のトラフィックを継続的に監視し、MLとAIを活用して問題をスクラブし警告する。 これには、ネットワーク全体とその中のシステムの健全性が含まれる。
PCI DSS 4.0要件11:セキュリティシステムとプロセスのテスト
要件11は、組織がカード所有者データの保護に効果的であることを確認するために、セキュリティシステムとプロセスを定期的にテストすることを要求している。 これには、脆弱性スキャン、侵入テスト、侵入検知テストの実施が含まれ、セキュリティの弱点を特定して対処する。
Edgioは、この要件に次のソリューションで対処する。
- Attack-Surface Management (ASM ): EdgioのASMソリューションは、インターネットに面したアーキテクチャ全体の完全なビューを提供する。 これには、ログに記録するための脆弱性のインベントリと、フォローアップのための所有者への割り当てが含まれる。
- Web Application Firewall (WAF ): EdgioのManaged WAFは脆弱性に対処するためのルールを継続的に更新する。 さらに、SQLインジェクション、クロスサイトスクリプティング、その他のリクエストの改ざんなどを捕捉できる。
- ボット管理: Edgioはボットによって認証情報の盗み取りのようなアクションでページが悪用されないようにするためのボット管理ツールを提供している。
- API Security: API呼び出しのスキーマ検証の実施。
- セキュリティオペレーションセンター(SOC):異常な動作を監視し、警告を維持する。
PCI DSS 4.0要件12:情報セキュリティに対処するポリシーを実装する
要件12は、すべての職員の情報セキュリティに対処するポリシーを維持することである。 このポリシーには、セキュリティに対する組織のコミットメント、セキュリティに関する役割と責任、および業務目標またはリスク環境の変更を反映するために定期的に更新される運用手順を含めるべきである。
Edgioは、この要件に次のソリューションで対処する。
- セキュリティオペレーションセンター(SOC ): EdgioのSOCは、セキュリティイベントの検出と対応を管理するためのプロセスの完全なセットを維持している。 ゼロデイ脆弱性や攻撃が発生した場合に、ネットワーク全体のルールを迅速に展開できる。 エスカレーションと24時間365日対応の包括的なSLAポリシーを維持している。
